PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mysql auf Webserver?



timmbo
07.08.11, 19:29
Hallo allerseits,

was ist aus Eurer sicht sinnvoller bzw. sicherer?
Das auf dem Webserver auch der mysql läuft, oder auf einer externen Maschine?
Mit externer Maschine meine ich einen anderen Rechner der in einem anderen Subnetz läuft(LAN) und nicht so wie der Webserver in einer richtigen DMZ.

Grüße
Timm

nopes
07.08.11, 19:47
Sicherer bzw. wartungsfreundlicher ist mit sicher eine eigener Server, das Problem ist aber dann die Geschwindigkeit, selbst wenn beide Server beim selben Hoster sind, wird das schnell sehr lahm. Für einen "eignen Server" ist also nur chroot oder was virtuelles eine Lösung die performant ist. Davon ab, gehört beides in eine DMZ, auch wenn die DB nur indirekt benutzt wird.

DrunkenFreak
07.08.11, 20:59
Die Geschwindigkeit dürfte zu vernachlässigen sein. Wenn es sich nicht um Datenmengen jenseits der 200MB Grenze handelt bei einer Abfrage, schafft das ein normales Netzwerk recht flott. Das macht keinen Unterschied, ob MySQL auf dem gleichen Server läuft oder nicht. Genauso wenig muss der Datenbankserver in eine DMZ. Der Server reicht ja nur an einen weiteren Server die Daten weiter und nirgends anders hin.

Ich würde das Ganze von der Last abhängig machen. Wenn der Webserver stark genug ist um die Datenbanken mit am Laufen zu halten, würde ich keinen zweiten Server hinzuziehen. Das ist nur weiterer Administrationsaufwand und mehr Stromverbrauch.

nopes
07.08.11, 21:02
mal ab von der Geschwindigkeit (bei der ich in der Praxis andere Erfahrungen gesammelt habe; auch wenn meine Abfragen nur ein paar kB liefern), wenn der andere Server (also der Webserver) Daten Zugriff hat, dann hat das bis zur Firewall auch das ganze Inet, also DMZ.

timmbo
08.08.11, 08:19
Hallo,

danke für eure Infos.
Werde die sensiblen Daten wohl auf einem 2ten mysql Server der nicht im I-Net steht aufsetzen und nur per VPN zugänglich machen.
Hatte alle mysql datenbanken auf einem Rechner(Energie sparen), das scheint mir aber aufgrund der letzten Angriffe die man in den Online-Zeitungen sieht, zu riskant.

Grüße
Timm

marce
08.08.11, 08:35
was bringt denn Deiner Meinung nach dann ein ded. MySQL-Server an zusätzlicher Sicherheit?

Wenn der Webserver geknackt wird hat der Angreifer auch die Zugangsdaten zur DB und kann dann dort die Daten abziehen. Wenn der Webserver nicht geknackt wird - nicht.

Die Daten der DB sind also in beiden Fällen genau gleich sicher...

timmbo
08.08.11, 09:23
Hi marce,

ja deswegen hab ich mir überlegt auf einem 2ten Server Apache und Mysql der im LAN sitzt und nicht von außen erreichbar ist, außer per VPN, zu installieren.

Grüße
Timm

nopes
08.08.11, 13:22
dann muss dir aber klar sein, dass wenn dein externer Server gehackt wird, der Angreifer das VPN benutzen kann, um auch in deinem LAN zu räubern, wirklich clever klingt das für mich nicht ;)

timmbo
08.08.11, 13:30
Hi,

äh warum das denn?
Auf dem Server läuft kein VPN, das läuft auf der Firewall.

marce
08.08.11, 13:33
ich glaube, da liegt ein Verständnisproblem vor: Ich denke, er hat vor, ein Teil der Daten (Web- und DB) - eben die, die sensibel sind - von dem öffentlichen Webserver komplett wegzuziehen und auf ein System in der DMZ zu ziehen, auf welches nur über einen VPN-Tunnel zugegriffen werden kann.

Danach hat der Webserver mit dem 2. ded. Sensibel-Daten-Server nichts mehr zu tun.

Er will also nicht auf die MySQL per VPN zugreifen...

Habe ich das richtig verstanden?

timmbo
08.08.11, 14:57
Hi marce,

ja genau, im Moment läuft alles auf dem öffentlichen Webserver.
Alles, auch der öffentliche Server sitzt hinter einer Firewall, die trennt mehrere Netze.

Grüße
Timm